【漏洞通告】Jackson-databind远程代码执行漏洞（CVE-2020-8840）通告

通告编号:NS-2020-00102020-02-21TAG：Jackson-databind、远程代码执行、CVE-2020-8840漏洞危害：攻击者利用此漏洞，可造成远程代码执行。版本：1.01漏洞概述2月19日，NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行漏洞（CVE-2020-8840），CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复，请相关用户及时升级进行防护。参考链接：https://nvd.nist.gov/vuln/detail/CVE-2020-8840SEE MORE →2影响范围受影响版本2.0.0 <= FasterXML jackson-databind <= 2.9.10.2不受影响版本FasterXML jackson-databind = 2.8.11.5FasterXML jackson-databind = 2.9.10.3（暂未发布）3漏洞检测3.1  版本检测建议开发人员排查应用程序中对Jackson-databind组件的引入情况，包括是否引入以及版本详情。以Maven项目为例，排查方法如下所示：检查pom.xml相关文件对jackson-databind引入情况，查看当前使用的版本。若当前版本在受影响范围内，则可能存在安全风险。4漏洞防护4.1  官方升级目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，暂未发布新版本的请持续关注官方信息，下载链接：https://github.com/FasterXML/jackson-databind/releases开发人员也可通过配置Maven的方式对应用升级并编译发布，配置方法如下：<!--   https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-databind   --><dependency>      <groupId>com.fasterxml.jackson.core</groupId>      <artifactId>jackson-databind</artifactId>    <version>2.8.11.5</version></dependency>4.2  产品防护绿盟科技Web应用防护系统的历史防护规则（27004899）已具备对此漏洞的防护能力，请相关用户及时更新WAF产品规则，以确保有效防护。END作者：绿盟科技安全服务部                 声明本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。            绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。            关于绿盟科技北京神州绿盟信息安全科技股份有限公司 （简称绿盟科技）成立于2000年4月，总部位于北京。在国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。基于多年的安全攻防研究，绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域，为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市，股票简称：绿盟科技，股票代码：300369绿盟科技安全情报 ∣微信公众号长按识别二维码，关注网络安全威胁信息 原文始发于微信公众号（绿盟科技CERT）：【漏洞通告】Jackson-databind远程代码执行漏洞（CVE-2020-8840）通告